OpenBSD - изоляция на уровне настольных приложений

Какой используемый метод предпочтительнее в качестве изоляции приложения в OpenBSD?

• Запускаете приложения с графическим интерфейсом с разными пользователями? По-разному для веб-браузера, торрент-клиента, программы просмотра PDF и т. Д.
• chroot? - https://www.ibm.com/developerworks/community/blogs/karsten/entry/openbsd_chroot?lang=en
• Или есть другие полезные методы?

Цель: если злоумышленник заходит через веб-браузер, он не должен достигать (личных) файлов (например, файла базы данных диспетчера pw), содержимого памяти, его следует как-то ограничивать.